Magento Security Update

Gerade der Checkout eines Shopsystems gehört zu den wichtigsten Bereichen eines jeden Onlineshops, da dort die sensiblen Zahlungsdaten der Kunden ausgetauscht werden. Aus diesem Grund steht dieser Bereich auch immer wieder im Fokus von möglichen Angreifern. Bei entsprechenden Angriffen können beispielsweise Kreditkarten-Daten abgegriffen werden, die später im sogenannten Dark-Web verkauft werden. Dieses sogenannte Skimming rückte in den letzten Jahren verstärkt ins Rampenlicht.

Laut aktuellen Berichten von Magento gibt es eine kritische Lücke im Checkout-Prozess der Community-, als auch der Enterprise Edition. Je nach Bezahlmethode könne ein Angreifer einen eigenen PHP-Code in den Checkout-Prozess integrieren und auch ausführen. Deshalb empfiehlt Magento die sichere Version der Community Edition 1.9.3 und der Enterprise Edition 1.14.3 zu installieren. Dieser Fehler weist einen CVSSv3 Score von 9.8 von 10 auf. Die Sicherheitsupdates schließen gleich mehrere Lücken, wobei zwei davon als kritisch klassifiziert wurden. In Summe werden damit 17 Sicherheitslücken geschlossen. Auch das Skimming soll mit diesem Update drastisch erschwert werden.

Die zweite kritische Lücke ist ein Bug im Zend Framework, welchen Angreifer für eine SQL-Attacke ausnutzen könnten. Der Zugriff dafür könnte über das Admin-Backend von Magento sein.